A Microsoft revelou que o grupo de hackers norte-coreano Moonstone Sleet passou a utilizar o ransomware Qilin em ataques recentes. Essa mudança representa uma nova abordagem do grupo, que antes confiava apenas em ferramentas próprias de ataque.
Microsoft alerta sobre parceria entre hackers norte-coreanos e ransomware Qilin
Adaptação estratégica dos cibercriminosos
Desde fevereiro de 2025, a Microsoft identificou que o Moonstone Sleet direcionou ataques a um número limitado de alvos, demonstrando uma evolução nas suas estratégias. Inicialmente rastreado como Storm-1789, o grupo compartilhou características com outros hackers norte-coreanos, como Diamond Sleet e Onyx Sleet, mas gradualmente adotou métodos e infraestruturas próprias.
As ações do grupo incluem a distribuição de softwares comprometidos, como versões adulteradas do PuTTY, o uso de carregadores de malware sob medida, pacotes npm maliciosos e até jogos infectados. Além disso, eles criam empresas fictícias, como CC Waterfall e StarGlow Ventures, para enganar vítimas em plataformas como LinkedIn, redes de freelancers, Telegram e e-mail.
Ascensão do ransomware Qilin
O ransomware Qilin, ativo desde agosto de 2022, já comprometeu mais de 300 organizações, conforme dados da dark web. A ameaça ganhou força no final de 2023, quando afiliados começaram a explorar criptografadores avançados para atingir servidores VMware ESXi. Os valores exigidos nos resgates variam de US$ 25 mil a milhões de dólares, dependendo da organização atingida.
Notícias Relacionadas
Segurança digital
Hackers exploram vulnerabilidade crítica no PHP para distribuir Quasar RAT e XMRig
Cibercriminosos estão explorando uma falha grave no PHP para implantar mineradores de criptomoedas e trojans de acesso remoto, como o Quasar RAT. O ataque se concentra em diversos países, incluindo Brasil, Taiwan e Hong Kong.
Cibersegurança ameaçada
ClearFake infecta milhares de sites e usa reCAPTCHA falso para espalhar malware
A campanha ClearFake tem utilizado reCAPTCHAs e Turnstiles falsos para enganar usuários e espalhar malwares como Lumma Stealer e Vidar Stealer. Com mais de 9.300 sites comprometidos, a ameaça continua a evoluir.
Dentre os alvos do Qilin estão empresas de grande porte, como a fabricante automotiva Yangfeng, a editora de jornais Lee Enterprises e a provedora de serviços de patologia Synnovis. Um dos ataques mais impactantes afetou hospitais do NHS no Reino Unido, causando o cancelamento de cirurgias e consultas médicas.
Histórico de envolvimento norte-coreano com ransomware
A Coreia do Norte tem um histórico de envolvimento com ataques de ransomware. Em maio de 2024, a Microsoft identificou o Moonstone Sleet utilizando uma variante personalizada do ransomware FakePenny, com pedidos de resgate que chegavam a US$ 6,6 milhões em Bitcoin.
Anteriormente, em 2017, o grupo Lazarus foi responsabilizado pelo ataque global do ransomware WannaCry, que afetou centenas de milhares de sistemas. Outros ataques atribuídos a hackers norte-coreanos incluem as operações de ransomware Holy Ghost e Maui, ambas direcionadas a instituições de saúde.
Conclusão
A adesão do Moonstone Sleet ao ransomware Qilin mostra como os cibercriminosos norte-coreanos estão se adaptando para maximizar seus ataques. A Microsoft reforça a necessidade de medidas robustas de segurança cibernética para mitigar esses riscos e evitar impactos financeiros e operacionais.
